Imagine a seguinte cena…
Você está fora do horário de expediente e de repente recebe um telefonema supostamente do departamento de Tecnologia da Informação (TI) da sua empresa solicitando uma credencial referente a um projeto ou um sistema. A justificativa para a solicitação é a ocorrência de um possível incidente e os dados expostos, necessitam o mais rápido possível serem transferidos a um local seguro. A pessoa cita características e informações genuínas que apenas colaboradores do seu setor ou envolvidos ao projeto saberiam. Como você reagiria a esse pedido? E os seus colegas de empresa?
A engenharia social não é um problema de tecnologia ou processos
Em Segurança da Informação (SI), podemos definir como engenharia social as habilidades e práticas interpessoais de convencimento e confiança sobre pessoas a fim de obter benefício e/ ou informação confidencial, muitas vezes podendo se passar por outra identidade (usuário). Este tipo de ataque explora principalmente o fator humano, manipulando a vítima de acordo com as suas características e desejos. Sendo assim, não tem relação obrigatória com sistemas informáticos. Ela ocorre ao explorar características humanas, tais como:
- Confiança – Pessoas tendem a confiar;
- Ajuda – tendem a ajudar;
- Utilidade – sentem-se útil ao se integrar com as necessidades alheias;
- Vaidade – sentem-se mais seguras e confortáveis ao receber elogios;
- Necessidade pessoal – A sensação de satisfação pessoal (geralmente financeira);
- Novas amizades – Dependência por relacionamentos.
Realizar etapas de verificações como identificação e autenticação, sem dúvida são medidas essenciais para auxiliar a mitigar o risco deste tipo de ataque, porém, é importante ter em mente que um ataque bem elaborado e direcionado de engenharia social provavelmente já deve ter se antecipado a maioria das perguntas e respostas possíveis nas quais você possa fazer, ou possa ter pensado.
Portanto, um atacante na maioria dos casos não irá simplesmente realizar uma ligação solicitando por uma credencial, ao invés disso, ele explorará a confiança dos usuários pelo tempo que for preciso investir, fazendo com que os mesmos acessem, ou em último caso forneçam, as informações necessárias a ele, sem que o mesmo tenha de fazê-lo, evitando assim deixar logs ou evidências de acesso.
Este tipo de ataque pode ser prevenido através de projetos de conscientização e treinamentos para todos os usuários de sua empresa. Prepará-los e testá-los deve estar dentro de suas rotinas e planejamentos de SI.
Além dos mais comuns como online e por telefone, um ataque de engenharia social pode ter como entrada:
Dumpster Diving – Procurar por informações inutilizadas/ descartadas pela sua empresa, geralmente lixos e gavetas;
Shoulder surfing – Visualizar pelas costas de um usuário legitimo, para a sua tela, por exemplo, ao digitar uma senha;
Persuasão – Através da conversa e do convencimento, explorando uma ou mais características humanas citadas anteriormente.
Como encarar esta ameaça?
Um ataque de engenharia social pode comprometer todo o investimento realizado em um programa de SI, seu impacto pode ser alcançado desde uma informação obtida pelo porteiro até o presidente.
Tendo assim impactos distintos, no que diz respeito à criticidade da informação obtida.
Um bom programa em treinamento de engenharia social deve abordar itens, tais como:
- Reconhecimento – de e-mails (falsos, phishings) e telefonemas;
- Mesa e tela limpa – manter informações guardadas/ armazenadas em gavetas e telas bloqueadas ao se ausentar da estação de trabalho
- Descarte correto de papéis e mídias – utilize fragmentadoras de papeis nos escritórios;
- Classificação da Informação – entendimento do ciclo de vida completo, desde a construção, modificação e divulgação;
- Conversas de elevadores e restaurantes – muitas vezes a mesa ao lado do restaurante é o local onde está o seu concorrente almoçando, assuntos confidenciais devem ser abordados em tom e somente em locais adequados;
- Controle de acesso físico – itens exclusivos para o pessoal de recepção e para demais usuários, como uso de crachá e catracas.
Divida o foco e abordagem do treinamento em grupos, uma vez que os objetivos são distintos entre eles:
Board – Executivos, donos de processos críticos e de negócio;
Alto privilégio técnico – O grupo que possui acesso a aplicações críticas do negócio, como administradores de sistemas, service desk, dentre outros;
Usuários de tarefas administrativas – São funcionários que não possuem acessos privilegiados, porém lidam com informações críticas/ confidenciais de maneira geral, por exemplo: RH, Financeiro.
Outras dicas na elaboração de contra medidas:
- Crie senhas internas semanais para acesso a informações remotas confidenciais (aplica-se principalmente ao contato por telefone com a equipe de TI).
- Oriente os funcionários a dizerem “não”, quando necessário – isso não é um problema.
- Promova a integração, elabore quizzes, trate o assunto em workshops de maneira descontraída, distribuindo premiação com os que demonstrarem esforço à colaboração.Por fim, para ajudar a medir a evolução realize testes periódicos de engenharia social e mensure na prática qual o nível de maturidade que os usuários de sua empresa alcançaram e meça a evolução.
Concluindo:
Este é um tipo de ataque de difícil mensuração e controle, uma vez que pode partir tanto de um agente interno ou externo, independentemente de medidas de prevenção como conscientização dos usuários.
Além disso, o engajamento ao objetivo estratégico auxiliará os usuários a terem a percepção de quão valiosa são as informações para a sobrevivência da empresa, em um mercado cada vez mais competitivo. Adicionalmente, junto aos treinamentos e medições, será possível identificar os usuários mais engajados e que poderão contribuir com as iniciativas de SI, bem como auxiliar na mitigação de incidentes em tempo hábil, agregando valor a melhoria contínua e ao programa de SI.
*Esse artigo foi escrito pelo time da Safeway responsável por projetos de Engenharia Social
Quer saber mais? Fale conosco: [email protected]
Sobre a [SAFEWAY]
A [SAFEWAY] é uma empresa amplamente reconhecida como provedora de soluções premium em Segurança da Informação e CyberSecurity. De seu extenso portfólio, destacam-se diversas soluções, entre elas as baseadas nas plataformas:
● Archer da RSA Security, considerada pelos institutos Gartner e Forrester e pelo próprio mercado, a mais completa solução de integração de processos de Governança, Gestão de Riscos, Compliance e Gestão de Continuidade de Negócios;
● [SAFEWAY] Security Tower, suportada pelo IBM Qradar (tecnologia Watson), sob medida para cada organização em suas necessidades de gestão de segurança e cyberdefesa.
● E outras, envolvendo tecnologias Imperva, Thales, Tripwire e WatchGuard Technologies.